Como habilitar ou desabilitar o protocolo SMBv1 no Windows

No Windows 10, versão 1709 (Fall Creators Update) e no Windows Server, versão 1709 (RedStone S3) e versões posteriores, o protocolo de rede Server Message Block versão 1 (SMBv1), antiga tecnologia dos anos 80 usada para compartilhar arquivos em uma rede [3][4], não é mais instalado por padrão. Ele foi substituído pelo SMBv2 (introduzido no Windows Vista e Windows Server 2008), SMBv3 (introduzido no Windows 8 e Windows Server 2012) e por protocolos posteriores a partir de 2007. A Microsoft substituiu publicamente o protocolo SMBv1 em 2014. [2]

Nota Ao habilitar ou desabilitar o SMBv2 no Windows 8 ou no Windows Server 2012, o SMBv3 também é habilitado ou desabilitado. Esse comportamento ocorre porque esses protocolos compartilham a mesma pilha. A Microsoft não recomenda desabilitar o SMBv2 ou SMBv3. Desabilite o SMBv2 ou SMBv3 somente como medida de solução de problemas temporária. Não deixe o SMBv2 ou SMBv3 desabilitado. [1]

O SMBv1 tem o seguinte comportamento no Windows 10 Fall Creators Update e no Windows Server, versão 1709 (RS3) [2]:

  • O SMBv1 agora tem sub-recursos de cliente e servidor que podem ser desinstalados separadamente.
  • O Windows Server 2016 não tem mais o cliente ou servidor SMBv1 por padrão após uma instalação limpa.
  • O Windows 10 Home, Windows 10 Professional, Windows 10 Enterprise e Windows 10 Education não têm mais o cliente ou servidor SMBv1 por padrão após uma instalação limpa.
  • As atualizações in-loco e os lançamentos do Insider para Windows 10 Home e Windows 10 Professional não removem o SMBv1 automaticamente de início. Se o cliente ou servidor SMBv1 não for usado por 15 dias no total (exceto o período durante o qual o computador está desligado), eles são desinstalados automaticamente.
  • As atualizações in-loco e os lançamentos do Insider para Windows 10 Enterprise e Windows 10 Education não removem o SMB1 automaticamente de início. Um administrador deve decidir desinstalar o SMBv1 nesses ambientes gerenciados.
  • A remoção automática do SMBv1 após 15 dias é uma operação única. Se um administrador reinstalar o SMBv1, nenhuma outra tentativa será feita para desinstalá-lo.
  • O serviço Pesquisador de Computadores depende do protocolo SMBv1 para preencher o nó de rede do Windows Explorer (também conhecido como “Ambiente de rede”). Isto é, a Rede do Gerenciador não pode mais exibir computadores Windows pelo método de navegação de datagrama NetBIOS herdado. Este protocolo herdado já foi substituído, não faz roteamento e tem segurança limitada. Como não pode funcionar sem o SMBv1, o serviço é removido.
  • O SMBv1 ainda pode ser reinstalado em todas as edições do Windows 10 e Windows Server 2016.

Se você tentar se conectar aos dispositivos compatíveis somente com SMBv1 ou se esses dispositivos tentarem se conectar a você, é possível receber uma das seguintes mensagens de erro:

  • Você não consegue se conectar ao compartilhamento de arquivos porque não é seguro. Esse compartilhamento exige o protocolo SMB1 obsoleto, que não é seguro e pode expor seu sistema a ataques.
    Seu sistema exige o SMB2 ou posterior. Para obter mais informações sobre como solucionar esse problema, consulte: https://go.microsoft.com/fwlink/?linkid=852747
  • O nome de rede especificado não está mais disponível.
  • Erro não especificado 0x80004005
  • Erro do sistema 64
  • O servidor especificado não pode realizar a operação solicitada.
  • Erro 58

Navegação na rede do gerenciador

Se ainda for necessário usar a Rede do Gerenciador em ambientes de grupo de trabalho residenciais e de pequenas empresas para localizar computadores Windows, você pode seguir estas etapas em seus computadores Windows que não usam mais SMBv1 [2]:

  1. Inicie os serviços “Host de Provedor da Descoberta de Função” e “Publicação de Recursos de Descoberta de Função”. Em seguida, configure-os como Automático (Atraso na inicialização).
  2. Ao abrir a Rede do Gerenciador, habilite a descoberta de rede quando for solicitado.

Todos os dispositivos Windows nessa sub-rede com essas configurações agora aparecem na Rede para pesquisa. O protocolo WS-DISCOVERY é usado. [2]

Observação É recomendado que você mapeie unidades e impressoras em vez de habilitar esse recurso, o que ainda exige a pesquisa e a busca pelos dispositivos. Os recursos mapeados são mais fáceis de localizar, exigem menos treinamento e são mais seguros de usar. Isso acontece se esses recursos forem fornecidos automaticamente pela Política de grupo. Um administrador pode configurar impressoras de acordo com a localização por métodos diferentes do serviço Pesquisador de Computadores usando endereços IP, Active Directory Domain Services (AD DS), Bonjour, mDNS, uPnP etc. [2]

Como habilitar e desabilitar o Cliente SMBv1 no Windows 10

Importante A Microsoft recomenda que você NÃO reinstale o SMBv1. Isso ocorre porque o protocolo mais antigo tem problemas de segurança conhecidos relacionados a ransomware e outro tipo de malware. [2] Uma de suas vulnerabilidades permitiu os ataques do WannaCry e Petya, que infectaram milhares de computadores em todo o mundo. [3]

Por que tantas organizações continuam presas a um protocolo antigo e vulnerável? A resposta simples é por que elas encontram-se tecnicamente ou financeiramente impossibilitadas de modernizar todos seus sistemas Windows 2000, XP ou Server 2003 (que não são capazes de comunicarem-se com servidores com SMBv1 desabilitado [5]) para novas versões do sistema operacional que suportam novos dialetos SMB. [4]

Há organizações que usam versões mais recentes do Windows, como o Windows Vista, Windows 7 ou Server 2008. Elas estão mais protegidas através do protocolo SMBv2, mas não completamente seguras. A criptografia foi introduzida apenas com o protocolo SMBv3, presente no Windows 8 e Server 2012. [4]

São raros os cenários em que ainda se usa a primeira versão do protocolo [3]:

  • se você ainda roda o Windows XP ou Server 2003 com suporte personalizado;
  • se você tem um software antigo de gerenciamento que exige que os administradores usem um navegador de “vizinhança de rede”;
  • se você usa impressoras multifuncionais antigas com firmware antigo para “escanear e compartilhar”;
  • se você usa algum dos produtos desta lista.

E, recentemente, pesquisadores mostraram que uma falha nesse protocolo permite derrubar uma máquina com Windows através de um ataque de negação de serviço. [3]

Pesquisadores da RiskSense fizeram a demonstração na conferência DefCon usando um Raspberry Pi — e ele poderia “derrubar o servidor mais robusto”, diz Sean Dillon, que faz parte da equipe, ao Threatpost. [3]

A vulnerabilidade, chamada de “SMBloris”, não requer um computador potente para ser explorada. Ela existe há vinte anos e está presente em sistemas operacionais desde o Windows 2000, incluindo o Windows 10. [3]

A resposta da Microsoft? Ela não vai corrigir esse bug. A empresa diz que as portas do SMB v1 não deveriam ficar expostas na internet, e precisam ser protegidas por um firewall. [3]

Para habilitar o protocolo SMBv1 no Windows 10 (não recomendado), abra o menu Iniciar, digite “Painel de Controle” e pressione Enter:

Clique em Programas:

Clique em “Ativar ou desativar recursos do Windows”:

Desça a lista para encontrar a opção “Suporte para Compartilhamento de Arquivos SMB 1.0/CIFS” e clique na caixa ao lado para desativá-la ou ativá-la. Clique em OK.

Por fim, escolha se você quer reiniciar o computador agora ou depois para aplicar as mudanças. [5][6]

Como desabilitar o Cliente SMBv1 em ambientes corporativos

Caso você administre a rede de uma empresa, use este comando para ver se algum computador exige o SMB v1:

Set-SmbServerConfiguration -AuditSmb1Access $true

Se não for o caso, use este módulo do PowerShell para detectar quais computadores estão com o SMB v1 ativado; e desative-o através de uma diretiva de grupo seguindo estas instruções.

Sim, a Microsoft desativou o SMB v1 na maioria dos casos com o Windows 10 Fall Creators Update. Mas se você estiver em versões anteriores do Windows, já sabe como proceder.

Referências

  1. Como detectar, habilitar e desabilitar SMBv1, SMBv2 e SMBv3 no Windows e no Windows Server. Suporte da Microsoft.
  2. O SMBv1 não está instalado por padrão no Windows 10 Fall Creators Update e no Windows Server, versão 1709 e versões posteriores. Suporte da Microsoft.
  3. Você deveria desativar este recurso antigo e inseguro do Windows. Tecnoblog.
  4. Protecting Legacy Windows Systems from Cyber Attacks: Upgrade Windows XP and Server 2003 to SMB3.1.1. Visuality Systems.
  5. Provisioning services – Activate SMB2 for better security and performance. Xenit Technical.
  6. Você deveria desativar este recurso antigo e inseguro do Windows. Tecnoblog.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.